1 週間以上オフラインのコンピューターを起動すると OS 起動直後の数分間 NAP ポリシー非準拠と判定される

現象

次の条件を満たした場合、 OS 起動直後の数分間、コンピューターは NAP ポリシー非準拠と判定される現象が発生します。

・ NAP 環境で WSHA (Windows セキュリティ正常性エージェント) を使用しています。
・ 最後にポリシー準拠と判定されてから 1 週間以上の間シャットダウンしていたコンピューターを起動し、ネットワークに接続します。

この場合、OS 起動直後の数分間、コンピューターは NAP ポリシー非準拠と判定されてネットワークから隔離されます。

原因

この現象は、Windows 標準 SHA の SoH (正常性ステートメント) のキャッシュの有効期限が 1 週間であることに起因して発生します。

解決方法

この現象は製品の想定通りの動作であり、変更することはできません。 

詳細

WSHA では、Security Center サービス、Windows Update サービスから情報を取得して SoH を作成します。

OS 起動直後においては、Security Center サービス、Windows Update サービスの起動が完了するまでに数分を要し、NAP Agent サービスが先に起動する場合があります。

この際、NAP Agent は最後に使用された SoH のキャッシュを使用してポリシー準拠の判定要求を NPS サーバーに送信します。最後に作成された SoH が NPS サーバーで構成するポリシーを満たすものであれば、Security Center サービス、Windows Update サービスの起動を待たずにポリシー準拠と判定され、正常ネットワークに接続することができます。

しかしながら、SoH のキャッシュの有効期限は既定で 1 週間で設定されており、この値を変更することができません。

このため、最後にポリシー準拠と判定されて SoH が作成されてから 1 週間以上 OS をシャットダウンしていた場合、次回の OS 起動時には有効な SoH のキャッシュを使用することができません。

この場合、Security Center サービス、Windows Update サービスの起動が完了し、WSHA がセキュリティ状態を正しく取得できるまでの間の数分間、コンピューターはポリシー非準拠と判定され、検疫ネットワークに隔離される結果となります。
プロパティ

文書番号:2805641 - 最終更新日: 2016/09/29 - リビジョン: 1

Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate

フィードバック